การปฏิบัติตามกฎระเบียบและความเป็นส่วนตัวของข้อมูล
Microsoft มีความมุ่งมั่นในระดับสูงสุดของความไว้วางใจ ความโปร่งใส ความสอดคล้องตามมาตรฐาน และการปฏิบัติตามกฎระเบียบ ชุดผลิตภัณฑ์และบริการคลาวด์ที่หลากหลายของ Microsoft นั้นสร้างขึ้นจากพื้นฐานเพื่อตอบสนองความต้องการด้านความปลอดภัยและความเป็นส่วนตัวที่เข้มงวดที่สุดของลูกค้าของเรา
เพื่อช่วยให้องค์กรของคุณปฏิบัติตามข้อกำหนดระดับประเทศ ภูมิภาค และข้อกำหนดเฉพาะของอุตสาหกรรมที่ควบคุมการรวบรวมและการใช้ข้อมูลของแต่ละบุคคล Microsoft จึงจัดทำชุดข้อเสนอการปฏิบัติตามกฎเกณฑ์ที่ครอบคลุมที่สุด (รวมถึงการรับรองและการยืนยัน) ของผู้ให้การบริการคลาวด์ นอกจากนี้ยังมีเครื่องมือสำหรับผู้ดูแลระบบเพื่อสนับสนุนความพยายามขององค์กรของคุณ ในส่วนนี้ของเอกสาร เราจะกล่าวถึงรายละเอียดเพิ่มเติมเกี่ยวกับทรัพยากรที่มีอยู่เพื่อช่วยคุณกำหนดและบรรลุความต้องการขององค์กรของคุณ
ศูนย์ความเชื่อถือ
ศูนย์ความเชื่อถือของ Microsoft เป็นทรัพยากรส่วนกลางสำหรับการรับข้อมูลเกี่ยวกับผลิตภัณฑ์ของ Microsoft ซึ่งรวมถึงข้อมูลเกี่ยวกับความปลอดภัย ความเป็นส่วนตัว การปฏิบัติตาม และความโปร่งใส ในขณะที่เนื้อหานี้อาจมีบางชุดย่อยของข้อมูลนี้สำหรับ Power Apps จำเป็นอย่างยิ่งที่จะอ้างถึงศูนย์ความเชื่อถือของ Microsoft สำหรับข้อมูลที่เชื่อถือได้ล่าสุดอยู่เสมอ
สำหรับการอ้างอิงอย่างรวดเร็ว คุณสามารถค้นหาข้อมูลศูนย์ความเชื่อถือสำหรับ Microsoft Power Platform ที่นี่: https://www.microsoft.com/trust-center/product-overview ซึ่งจะรวมถึงข้อมูลใใน Power Apps Microsoft Power Automate และ Power BI
ตำแหน่งที่ตั้งข้อมูล
Microsoft ดำเนินการศูนย์ข้อมูลหลายแห่งทั่วโลกที่รองรับแอปพลิเคชัน Microsoft Power Platform เมื่อองค์กรของคุณสร้างผู้เช่าก็จะสร้างตำแหน่งที่ตั้งทางภูมิศาสตร์ (ภูมิศาสตร์) เริ่มต้น นอกจากนี้เมื่อสร้างสภาพแวดล้อมเพื่อรองรับแอปพลิเคชันและมีข้อมูล Microsoft Dataverse สภาพแวดล้อมสามารถกำหนดเป้าหมายสำหรับภูมิศาสตร์ที่เฉพาะเจาะจงได้ รายการปัจจุบันของภูมิศาสตร์สำหรับ Microsoft Power Platform สามารถพบได้ที่นี่ https://www.microsoft.com/TrustCenter/CloudServices/business-application-platform/data-location
เพื่อสนับสนุนความต่อเนื่องของการดำเนินงาน Microsoft อาจทำซ้ำข้อมูลไปยังภูมิภาคอื่นๆภายในพื้นที่ทางภูมิศาสตร์ แต่ข้อมูลจะไม่ย้ายออกนอกพื้นที่ทางภูมิศาสตร์เพื่อรองรับความยืดหยุ่นของข้อมูล สิ่งนี้สนับสนุนความสามารถในการล้มเหลวหรือฟื้นตัวได้เร็วขึ้นหากมีการหยุดทำงานอย่างรุนแรง มีข้อยกเว้นที่สมเหตุสมผลบางประการในการเก็บข้อมูลในพื้นที่ทางภูมิศาสตร์ที่เฉพาะเจาะจงที่ระบุไว้ด้านบนที่ตั้งหลักซึ่งมุ่งเน้นไปที่กฎหมายและการสนับสนุน สิ่งสำคัญที่ควรทราบคือคุณหรือผู้ใช้ของคุณสามารถดำเนินการที่เปิดเผยข้อมูลนอกภูมิศาสตร์ได้ การบริการอื่นๆสามารถกำหนดค่าเพื่อเข้าถึงข้อมูลและเปิดเผยข้อมูลนอกภูมิศาสตร์ได้ โดยค่าเริ่มต้น ผู้ใช้ที่ได้รับอนุญาตสามารถเข้าถึงแพลตฟอร์มและแอปพลิเคชันและข้อมูลของคุณได้จากทุกที่ในโลกที่มีการเชื่อมต่อ
การปกป้องข้อมูล
ข้อมูลที่อยู่ในระหว่างการส่งข้อมูลระหว่างอุปกรณ์ผู้ใช้และศูนย์ข้อมูล Microsoft ที่มีความปลอดภัย การเชื่อมต่อที่สร้างขึ้นระหว่างลูกค้าและศูนย์ข้อมูลของ Microsoft นั้นได้รับการเข้ารหัสลับและจุดสิ้นสุดสาธารณะทั้งหมดจะได้รับการรักษาความปลอดภัยโดยใช้ TLS มาตรฐานอุตสาหกรรม TLS ได้สร้างเบราว์เซอร์ที่เพิ่มความปลอดภัยให้กับการเชื่อมต่อเซิร์ฟเวอร์อย่างมีประสิทธิภาพเพื่อช่วยให้มั่นใจวในเรื่องการรักษาความลับและความสมบูรณ์ของข้อมูลระหว่างเดสก์ท็อปและศูนย์ข้อมูล API สามารถเข้าถึงจากจุดสิ้นสุดของลูกค้าไปยังเซิร์ฟเวอร์นั้นที่ได้รับการปกป้องในทำนองเดียวกัน ปัจจุบัน TLS 1.2 (หรือสูงกว่า) เป็นสิ่งจำเป็นสำหรับการเข้าถึงจุดสิ้นสุดของเซิร์ฟเวอร์
ข้อมูลที่ถ่ายโอนผ่านเกตเวย์ข้อมูล on-premises จะถูกเข้ารหัสลับเช่นกัน โดยทั่วไปข้อมูลที่ผู้ใช้อัปโหลดจะถูกส่งไปยังที่เก็บข้อมูล Azure Blob และข้อมูลเมตาและอาร์ทิแฟกต์ทั้งหมดสำหรับระบบนั้นจะถูกเก็บไว้ในฐานข้อมูล Azure SQL และที่เก็บข้อมูล Azure Table
สภาพแวดล้อมทั้งหมดของฐานข้อมูล Dataverse ใช้ SQL Server Transparent Data Encryption (TDE)เพื่อดำเนินการเข้ารหัสลับแบบเรียลไทม์ของข้อมูลเมื่อเขียนไปยังดิสก์หรือที่เรียกอีกอย่างหนึ่งว่าการเข้ารหัสลับที่จัดเก็บ
โดยค่าเริ่มต้น Microsoft จะเก็บและจัดการคีย์การเข้ารหัสลับของฐานข้อมูลสำหรับสภาพแวดล้อมของคุณ ดังนั้นคุณไม่จำเป็นต้องทำ คุณลักษณะ จัดการคีย์ ในศูนย์จัดการ Power Platform ช่วยให้ผู้ดูแลระบบสามารถจัดการคีย์การเข้ารหัสลับฐานข้อมูลที่เกี่ยวข้องกับสภาพแวดล้อมของ Dynamics 365 (online) ด้วยตนเองได้ คุณสามารถอ่านเพิ่มเติมเกี่ยวกับการจัดการคีย์ของคุณเองได้ ที่นี่ แต่โดยทั่วไปจะแนะนำให้ Microsoft จัดการคีย์ เว้นแต่คุณมีความต้องการทางธุรกิจที่เฉพาะเจาะจงในการดูแลรักษาของคุณเอง
ทรัพยากรในการจัดการการปฏิบัติตาม GDPR
ข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล (GDPR) ของสหภาพยุโรป (EU) ให้สิทธิ์ที่สำคัญแก่บุคคลเกี่ยวกับข้อมูลของตน อ้างถึง Microsoft Learn สรุปข้อบังคับทั่วไปเกี่ยวกับการคุ้มครองข้อมูล สำหรับภาพรวมของ GDPR รวมถึงคำศัพท์เฉพาะ แผนปฏิบัติการ และรายการตรวจสอบความพร้อมเพื่อช่วยให้คุณปฏิบัติตามข้อผูกพันภายใต้ GDPR เมื่อใช้ผลิตภัณฑ์และบริการของ Microsoft
คุณสามารถเรียนรู้เพิ่มเติมเกี่ยวกับ GDPR และวิธีที่ Microsoft ช่วยสนับสนุนและลูกค้าของเราที่ได้รับผลกระทบจาก GDPR
- ศูนย์ความเชื่อถือของ Microsoft ให้ข้อมูลทั่วไป แนวทางปฏิบัติที่ดีที่สุดในการปฏิบัติตามข้อกำหนด และเอกสารที่เป็นประโยชน์สำหรับความรับผิดชอบของ GDPR เช่น การประเมินผลกระทบของการปกป้องข้อมูล คำขอของเจ้าของข้อมูล และการแจ้งเตือนการละเมิดข้อมูล
- พอร์ทัลความน่าเชื่อถือการบริการ ให้ข้อมูลเกี่ยวกับวิธีที่บริการของ Microsoft ช่วยสนับสนุนการปฏิบัติตาม GDPR
ในฐานะที่เป็นผู้ดูแลระบบ หนึ่งในกิจกรรมหลักในการสนับสนุนความเป็นส่วนตัวจะเกี่ยวข้องกับคำขอที่เป็นสิทธิ์ของเจ้าของข้อมูล (DSR) สิ่งเหล่านี้เป็นคำขออย่างเป็นทางการจากเจ้าของข้อมูลไปยังผู้ควบคุมข้อมูล (มีแนวโน้มจะเป็นองค์กรของคุณ) เพื่อดำเนินการกับข้อมูลส่วนบุคคลในระบบของคุณ เจ้าของข้อมูลมีสิทธิ์ในการขอรับสำเนา ขอแก้ไข จำกัดการประมวลผลข้อมูล ลบข้อมูลและรับสำเนาในรูปแบบอิเล็กทรอนิกส์เพื่อให้สามารถย้ายไปยังผู้ควบคุมข้อมูลรายอื่นได้
ลิงก์ต่อไปนี้ชี้ไปที่ข้อมูลโดยละเอียดเพื่อช่วยคุณตอบคำขอ DSR ที่ขึ้นอยู่กับคุณลักษณะที่องค์กรของคุณใช้
| คุณลักษณะของแพลตฟอร์ม | ลิงก์ไปยังขั้นตอนการตอบกลับโดยละเอียด |
|---|---|
| Power Apps | ตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) ในการส่งออกข้อมูลลูกค้า Power Apps |
| Dataverse | การตอบสนองต่อคำขอสิทธิ์ของเจ้าของข้อมูล (DSR) สำหรับข้อมูลลูกค้า Dataverse |
| Power Automate | การตอบสนองต่อคำขอของเจ้าของข้อมูลสำหรับ Power Automate |
| บัญชี Microsoft (MSAs) | ตอบสนองต่อการร้องขอสิทธิ์ของเจ้าของข้อมูล |
| แอปการมีส่วนร่วมของลูกค้า | Dynamics 365 คำขอความเป็นส่วนตัวจากเจ้าของข้อมูล |
ศูนย์การรักษาความปลอดภัยและการปฏิบัติตามข้อบังคับ Microsoft 365
ใช้ ตัวจัดการการการปฏิบัติตามกฎระเบียบของ Microsoft เพื่อจัดการการปฏิบัติตามกฎระเบียบของคุณในบริการระบบคลาวด์ของ Microsoft ได้ในที่เดียว
Power Automate ตรวจสอบบันทึกเหตุการณ์
ในการค้นหาบันทึกการตรวจสอบของศูนย์การปฏิบัติตามข้อบังคับ ผู้ดูแลระบบสามารถค้นหาและดูเหตุการณ์ Power Automate เหตุการณ์รวมถึงโฟลว์ที่สร้าง โฟลว์ที่แก้ไข โฟลว์ที่ถูกลบ สิทธิ์การแก้ไข สิทธิ์ที่ถูกลบ เริ่มต้นการทดลองใช้แบบชำะเงิน ต่ออายุการทดลองใช้แบบชำระเงิน การใช้พอร์ทัลคุณสามารถเลือกสิ่งที่คุณต้องการค้นหาและกรอบเวลา
ลงชื่อเข้าใช้ พอร์ทัลการปฏิบัติตามข้อบังคับของ Microsoft Purview
ภายใต้ โซลูชัน เลือก การตรวจสอบ
ภายใต้ กิจกรรม เลือกกิจกรรม Power Automate ที่จะตรวจสอบ
เลือก ค้นหา
เมื่อการค้นหาเสร็จสิ้น ให้เลือกเพื่อดูรายการกิจกรรมที่เกี่ยวข้อง
เลือกแถวในรายการเพื่อดูรายละเอียดกิจกรรม
ข้อมูลการตรวจสอบจะถูกเก็บไว้ 90 วัน คุณสามารถทำการส่งออกข้อมูล CDSV เพื่อให้คุณสามารถย้ายไปยัง Excel หรือ POWERBI สำหรับการวิเคราะห์เพิ่มเติม คุณสามารถดูการฝึกปฏิบัติแบบสมบูรณ์ของการใช้ข้อมูลการตรวจสอบที่นี่: https://flow.microsoft.com/blog/security-and-compliance-center/